https://www.opennet.me/openforum/vsluhforumID3/131734.html Компания Canonical объявила о внесении в Ubuntu 23.10 изменений, ограничивающих доступ пользователей к пространствам имён идентификаторов пользователя (user namespace), что позволит повысить защищённость систем, использующих контейнерную изоляцию, от уязвимостей, для эксплуатации которых необходимы манипуляции с user namespace. По данным Google, 44% эксплоитов, участвующих в программе по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux, требуют наличия возможности создания пространств имён идентификаторов пользователя...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59897<br> https://www.opennet.me/openforum/vsluhforumID3/131734.html#79 Tue, 17 Oct 2023 08:39:51 GMT Анонимус научился выполнять menuconfig. Как мило!<br> https://www.opennet.me/openforum/vsluhforumID3/131734.html#75 Wed, 11 Oct 2023 01:32:45 GMT а ныть как?<br> https://www.opennet.me/openforum/vsluhforumID3/131734.html#74 Tue, 10 Oct 2023 23:19:28 GMT За 15 лет свой Арч только один раз переустанавливал, когда сносил дуалбут с Виндой и объединял разделы в один (LUKS+Btrfs).<br> https://www.opennet.me/openforum/vsluhforumID3/131734.html#73 Tue, 10 Oct 2023 23:15:51 GMT Забыл ещё в /etc/sudoers{,.d/*} проверить наличие "%wheel ALL=(ALL:ALL) ALL".<br><br>Если отвалилась графическая сессия, то профи могут загрузиться с kernel_cmdline+="systemd.unit=multi-user.target", залогиниться обычным пользователем, добавленным в группу wheel, и повысить привилегии через sudo со своим паролем.<br><br>Если совсем всё сломали, то грузимся с LiveCD, монтируем корень, чиним из-под "живого" рута или chroot-имся обычным пользователем...<br> https://www.opennet.me/openforum/vsluhforumID3/131734.html#72 Tue, 10 Oct 2023 22:58:34 GMT https://github.com/containers/bubblewrap/blob/main/bubblewrap.c<br>&gt; if (prctl (PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) &lt; 0) die_with_error ("prctl(PR_SET_NO_NEW_PRIVS) failed"); https://www.opennet.me/openforum/vsluhforumID3/131734.html#71 Tue, 10 Oct 2023 22:51:17 GMT В чём я не прав? Хоть бы аргументировали минусы, что ли. Мне всё равно, а окружающих в заблуждение вводите, господа эксперты.<br><br>https://chromium.googlesource.com/chromium/src/+/HEAD/docs/linux/sandboxing.md#User-namespaces-sandbox<br>&gt; The namespace sandbox aims to replace the setuid sandbox. It has the advantage of not requiring a setuid binary. It's based on (unprivileged) user namespaces in the Linux kernel. It generally requires a kernel &gt;= 3.10, although it may work with 3.8 if certain patches are backported.<br><br>https://chromium.googlesource.com/chromium/src/+/HEAD/docs/linux/sandboxing.md#sandbox-types-summary<br>&gt; Linux distributions and Chrome OS (kernel &gt;= 3.8)<br>&gt; Enabled by default (modern kernels) and actively developed<br><br>https://www.electronjs.org/docs/latest/tutorial/sandbox<br>&gt; In Chromium, sandboxing is applied to most processes other than the main process. This includes renderer processes, as well as utility processes such as the audio service, the GPU service and the network service.<br>&gt; Sandboxed https://www.opennet.me/openforum/vsluhforumID3/131734.html#70 Tue, 10 Oct 2023 21:16:20 GMT Так у кода в браузере есть только возможность исполнять жс/вебассембли, это не то же самое, что дёргать произвольный код в произвольных либах. Эксплуатация уязвимостей значительно усложняется. Альтернатива неймспейсам это суидный рутовый бинарь. Ну, либо вообще, твори, что желаешь.<br> https://www.opennet.me/openforum/vsluhforumID3/131734.html#69 Tue, 10 Oct 2023 19:58:56 GMT Действительно, настойчивое проталкивание wayland-only --- с доступом к GPU и около --- начинает играть новыми красками ;)<br> https://www.opennet.me/openforum/vsluhforumID3/131734.html#68 Tue, 10 Oct 2023 19:45:17 GMT А дело не "нравится/не нравится". А в пропихивании всеми доступными и не очень способами принципиально ущербных подходов с последующей выборочной "изоляцией". Почти все довольны: выпуск очень нужных обновлений от истинных вендоров, сложность сопровождения --- сертфицированные дорогие обслуживатели, нужные люди про технологические отверстия в курсе, ну и т.д., все при деле.<br>